我有一个 ASP MVC 应用程序,该应用程序应该托管在我们的 DMZ 服务器上。连接到 LDAP 服务器时,保护网络的最佳做法是什么?
答案1
由于您的问题没有明确说明,因此我在此做了一些假设。假设如下:
- DMZ 服务器是独立的,未加入公司的 Active Directory(如果存在的话)
- 您所指的 LDAP 服务器不是公司的 Active Directory
如果以上两个条件都正确,那么您唯一的选择就是通过 SSL 连接到 LDAP 服务器。如果尚未设置,这显然需要将 LDAP 服务器设置为可通过 SSL 访问。缺点是您最终必须在应用程序中的某个位置嵌入 LDAP 身份验证凭据。
另一方面,如果 DMZ 服务器是公司 Active Directory 的成员,并且您要连接的 LDAP 服务器是同一个 Active Directory 域,则您应该将应用程序池作为域服务帐户运行(具有执行其任务所需的任何 AD 权限)。然后,可以通过 Kerberos 连接到 LDAP,并且您不必在要连接的站点中嵌入任何凭据。